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(57) Abstract: The invention relates to a person 
identification control method and to a system for 
implementing same. The inventive method comprises 
the following steps consisting in: detecting biometric 
data (23, 48, 79, 94, 108) relating to at least one 
person; seeking a concordance between the biometric 
data relating to the person and biometric data that 
have been pre-stored in a biometric database (26, 51, 
83, 97, 110), said pre-stored biometric data relating to 
persons for whom identification means have already 
been generated; and, when no concordance is found, 
generating an identification means (29, 56, 84, 98, 
103, 111) that is associated with the person from the 
biometric data relating to the person and at least one 
identity (24, 49, 80, 95, 117) for said person. 

(57) Abrege : On detecte des donnees biometriques 
(23, 48, 79, 94, 108) relatives a au moins une 
personne. On recherche une concordance entre les 
donnees biometriques relatives a ladite personne et 
des donnees biometriques prealablement memorisees 
dans une base de donnees biometriques (26, 
51, 83, 97, 110), lesdites donnees biometriques 
prealablement memorisees etant relatives a des 
personnes pour lesquelles des moyens d' identification 
ont ete prealablement generes. Et, lorsque aucune 
concordance n'a ete trouvee, on genere un moyen 
d'identification (29, 56, 84, 98, 103, 111) associe a 
ladite personne a partir des donnees biometriques 
relatives a ladite personne et d'au moins une identite 
(24, 49, 80, 95, 117) de ladite personne. 
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PROCEDE DE CONTROLE D1DENTIF1CAT1QN DE PERSONNES ET 
SYSTEME POUR LA MISE EN CEUVRE DU PROCEOE 

La presente invention concerne le controle d'ideratification de 
personnes. Elle concerne plus particulierement la generation d'un moyen 
unique d'identification de personnes. 

Une application particulierement interessante de I'invention, bien que 
non exclusive, consiste a controler la delivrance de droits a des personnes 
ayant obtenu un moyen unique d'identification. 

Le terme "droit" est a comprendre dans son acception la plus large, la 
delivrance d'un droit a une personne s'entendant de la concretisation d'une 
possibility offerte a cette personne. A titre d'exemple, une personne peut se 
faire delivrer un permis de conduire, un badge d'acces a un batirnent, un titre 
de transport, ou bien encore se faire attribuer un fonds de retraite, une 
indemnisation ou bien un remboursement dans le cadre d'un systeme de 
securite sociale par exemple, etc. 

La delivrance de tels droits est confrontee a un probleme d'unicite, 
dans la mesure ou Ton ne souhaite generalement pas delivrer plusieurs fois un 
meme droit a une meme personne. 

Ainsi, certains systemes actuels fonctionnent selon le principe suivant : 
une personne souhaitant se voir delivrer un droit decline d'abord son identite 
(par exemple ses nom et prenoms), puis une verification de cette identite est 
effectuee avec des moyens generalement limites et peu fiables. Puis, on verifie 
que la personne portant cette identite n'a pas deja regu le droit rev«ndique, par 
exemple en consultant une base de donnees ou sont stockees le^ identites de 
toutes les personnes ayant deja acquis le droit considere. Si la verification 
montre que la personne n'a pas deja acquis ce droit, ce dernier lui est alors 
delivre et cette information est prise en compte dans la base de donnees. 

Toutefois, si la personne consideree a usurpe une ou plusieurs 
identites, il lui est possible d'obtenir le droit un nombre de fois ega I au nombre 
des identites qu'elle presente au systeme. Uunicite de delivrance des droits 
n'est done pas assuree dans de tels systemes. 
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En outre, de tels systemes delivrent des droits en liaison avec I'identite 
des personnes, si bien qu'ils ne permettent pas de delivrer des droits a des 
personnes en raison de leur qualite, par exemple leur appartenance a une 
association d'anonymes. 

Pour limiter ces inconvenients et notamment pour fiabiliser 
['identification des personnes, ii est connu d'utiliser des donnees biometriques 
associees aux personnes. Le principe en resultant est illustre sur les figures 1 
et2. 

La figure 1 montre une phase prealable dite d'enrolement, au cours de 
laquelle un moyen d'identification d'une personne est genere, ce moyen 
d'identification creant un iien entre les donnees biometriques de la personne et 
son identite. Ainsi, la personne 1 possede une biometrie 3, c'est-a-dire des 
donnees biometriques qui la caracterisent, telles que des empreintes digitales, 
des caracteristiques de I'iris de ses yeux, etc. La personne 1 decline son 
identite 4, qui est alors verifiee (etape 5). Puis, une association est faite entre la 
biometrie 3 et I'identite 4 de la personne 1 (etape 6). Cette association est enfin 
stockee sur un moyen d'identification associe a la personne 1. Le moyen 
d'identification est typiquement detenu par la personne elle-meme, de sorte 
que cette derniere est la seule a posseder une trace de Tassociation entre sa 
biometrie 3 et son identite 4. Un tel moyen d'identification associe a une 
personne est couramment appele un jeton (ou "token") biometrique. II peut par 
exemple prendre la forme d'une carte d'identite sur laquelle les empreintes 
digitales de la personne ont ete apposees. 

La figure 2 montre une phase ulterieure de delivrance d'un droit. Une 
personne 2 pretendant a la delivrance d'un droit doit avoir fait I'objet d'un 
enrolement prealable selon les principes illustres sur la figure 1 . On compare 
alors la biometrie 8 de cette personne avec celle qui a ete conservee sur le 
jeton biometrique 9 associe a cette personne lors de son enrolement. Si les 
biometries concordent (etape 10), on est alors capable de retrouver I'identite de 
la personne 2 de maniere relativement fiable (etape 11) a partir de I'identite 
qu'elle avait declinee, pour verification, lors de son enrolement, et qui a ete 
stockee sur le jeton biometrique 9 en association avec la biometrie 8 de cette 
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personne. On verifie ensuite, a I'etape 12, si le droit en question a deja ete 
obtenu relativement a Tidentite retrouvee. Pour cela, on recherche la presence 
de ladite identite dans une base de donnees 13 stockant les identites des 
personnes ayant acquis le droit en question. Si la personne 2 n'avait pas 
encore acquis le droit, ce dernier lui est finalement delivre a I'etape 14 et cette 
information est prise en compte dans la base de donnees 13. 

Ce mode de fonctionnement fiabilise done Identification d'une 
personne, puisque I'identite declinee par chaque personne et verifiee lors de 
son enrolement est retrouvee a partir des donnees biometriques propres a 
cette personne et du jeton biometrique prealablement remis a cette personne. 

Toutefois, il ne garantit pas I'unicite de la delivrance de droits. En effet, 
une personne possedant plusieurs jetons biometriques, obtenus lors 
d'enrolements successifs, pourra se voir delivrer un droit plusieurs fois, avec un 
jeton biometrique different a chaque fois. Cela est particulierement vrai lorsque 
la personne obtient plusieurs jetons biometriques avec des identites differentes 
pour chaque jeton, ce qui peut se produire notamment lorsque I'etape 5 de 
verification de I'identite est de fiabilite faible. 

Une fagon connue et efficace de remedier a ce probleme consiste a 
stacker, dans une base de donnees centralisee, une association entre la 
biometrie et I'identite de chaque personne. La figure 3 illustre une phase 
d'enrolement conforme a ce mode de fonctionnement. La personne 15 
possede une biometrie 16 et decline une identite 17 qui fait I'objet d'une 
verification a Tetape 18. On verifie a Tetape 19 si un jeton biometrique a deja 
ete attribue a la personne 15 en recherchant la presence de I'identite declinee 
17 dans la base de donnees 20 des identites memorisant les couples 
biometrie-identite des personnes pour lesquelles un jeton biometrique a deja 
ete genere. Si la personne 1 5 n'avait pas encore de jeton biometrique, on lui en 
genere alors un a Tetape 21, ce qui garantit qu'un seul jeton biometrique est 
genere pour chaque personne. La base de donnees 20 est enfin mise a jour 
pour prendre en compte la generation du nouveau jeton. 

Par la suite, on peut delivrer un droit comme dans le cas illustre a la 
figure 2, si besoin est. 
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Toutefois, le mode de fonctionnement illustre sur la figure 3 necessite 
la mise en correspondance, dans une base de donnees 20, de donnees 
biometriques et d'identites de personnes. Une telle correspondance est peu 
souhaitable car elle pourrait etre utilisee a d'autres fins que la simple delivrance 
de droits et aller ainsi a rencontre de la liberte individuelle. Elle serait meme 
contraire a des dispositions legales pour la protection de la liberte individuelle 
dans certains pays. 

Un but de la presente invention est de limiter les inconvenients 
susmentionnes, en autorisant une identification de personnes qui n'entrave pas 
la liberte individuelle. 

Un autre but de I'invention est de mieux fiabiliser I'unicite des moyens 
d'identification associes a des personnes, en vue par exemple d'assurer un 
controle de la delivrance de droits a ces personnes, sans pour autant creer de 
base de donnees reliant pour chaque personne, sa biometrie et son identite. 

Un autre but de I'invention est de limiter les possibilites de fraude lors 
de la delivrance de droits. 

Un autre but encore de 1'invention est de permettre un controle de la 
delivrance de droits a des personnes sans consideration de leur identite. 

L'invention propose ainsi un procede de controle d'identification de 
personnes, comprenant une phase de generation d'un moyen unique 
d'identification associe a au moins une personne comprenant les etapes 
suivantes : 

/a/ detecter des donnees biometriques relatives a ladite personne ; 

Ihl rechercher une concordance entre les donnees biometriques 
relatives a ladite personne et des donnees biometriques prealablement 
memorisees dans une base de donnees biometriques, lesdites donnees 
biometriques prealablement memorisees etant relatives a des personnes 
pour lesquelles des moyens d'identification ont ete prealablement 
generes ; et, 

lorsque aucune concordance n'a ete trouvee : 
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lol generer un moyen d'identification associe a ladite personne a partir 
des donnees biometriques relatives a ladite personne et d'au moins une 
identite de ladite personne. 

L'etape Ibl du precede permet ainsi de s'assurer qu'un moyen 
d'identification, par exemple un jeton biometrique, n'a pas deja ete associe a la 
personne consideree dans le passe. On limite ainsi les possibilites, pour une 
meme personne, d'obtenir plusieurs moyens d'identification. 

Selon un mode de realisation avantageux de I'invention, le procede 
comprend en outre une seconde phase de delivrance d'au moins un droit a 
ladite personne, dans laquelle : 

lei ladite personne s'identifie a I'aide du moyen d'identification qui lui a 
ete prealablement associe ; et 

HI on delivre ledit droit a ladite personne lorsque ledit droit n'a pas deja 
ete delivre a ladite personne un nombre de fois egal a un nombre 
predetermine. 

La delivrance de droits etant soumise a identification de la personne a 
partir du moyen unique d'identification prealablement genere pour ladite 
personne, on evite ainsi que la personne puisse se voir delivrer des droits 
plusieurs fois en s'identifiant a partir de moyens d'identification distincts. 

Les phases du procede sont appliquees a au moins une personne, 
c'est-a-dire qu'un jeton biometrique est associe a une personne donnee ou a 
un groupe de personnes donnees. De meme, le ou les droits sont delivres a 
une personne donnee ou a un groupe de personnes donnees. 

Dans un mode de realisation particulier de Tinvention, une verification 
de Tidentite de la personne est effectuee avant Tetape IbL 

La delivrance du droit est effectuee sur la base d'un identifiant, qui peut 
etre Tidentite de ladite personne ou bien un identifiant du jeton biometrique qui 
lui a ete associe (mode anonyme). 

Dans un mode de realisation particulier de Finvention, on revoque 
Tidentifiant d'un jeton biometrique avant d'en generer un autre pour la meme 
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personne ou le meme groupe de personnes. Cela peut par exemple se 
produire lorsque la personne pretend avoir perdu son premier jeton 
biometrique. On evite ainsi avantageusement les generations multiples de 
jetons pour une meme personne ou un meme groupe de personnes, pouvant 
entraTner des delivrances multiples de droits pour ces personnes. 

Dans des modes de realisation particuliers de I'invention, une cle est 
calculee pour chaque personne, puis associee a son identite. II peut s'agir par 
exemple d'une cle biometrique calculee a partir d'elements biometriques de la 
personne, mais faiblement discriminante pour qu'on ne puisse pas facilement 
retrouver la personne a partir de sa cle. Cette cle peut aussi etre generee de 
fagon aleatoire, auquel cas elle est en outre associee a la biometrie de la 
personne consideree. 

L'invention propose en outre un systeme, comprenant des moyens 
pour mettre en oeuvre le procede susmentionne. 

Lorsque seule la premiere phase du procede est mise en oeuvre, le 
systeme peut alors s'apparenter a un dispositif. 

Lorsque, en revanche, le procede comprend la premiere phase de 
generation d'un moyen unique d'identification associe a au moins une 
personne, ainsi qu'une deuxieme phase de delivrance d'au moins un droit a 
cette personne, le systeme peut alors comprendre des moyens fonctionnels 
aptes a mettre en oeuvre chacune des deux phases du procede au sein d'un 
meme equipement, ou bien des entites physiques distinctes assurant chacune 
la mise en oeuvre d'une des deux phases principales du procede. 

D'autres particularites et avantages de la presente invention 
apparaTtront dans la description ci-apres d'exemples de realisation non 
limitatifs, en reference aux dessins annexes, dans lesquels : 

- la figure 1 est un schema, deja commente, montrant un mode connu 
d'enrolement d'une personne ; 

- la figure 2 est un schema, deja commente, montrant un mode connu de 
delivrance de droits a une personne ; 

- |a figure 3 est un schema, deja commente, montrant un autre mode 
connu d'enrolement d'une personne ; 
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- la figure 4 est un schema montrant un mode d'enrolement d'une 
personne selon 1'invention ; 

- la figure 4A est un schema montrant une premiere phase d'un mode 
d'enrolement d'une personne selon I'invention ; 

- la figure 4B est un schema montrant une seconde phase d'un mode 
d'enrolement d'une personne selon I'invention ; 

- la figure 5 est un schema montrant un mode de delivrance de droit a une 
personne en fonction de son identite, selon I'invention ; 

- la figure 6 est un schema montrant un mode de delivrance de droit a une 
personne independamment de son identite, selon ('invention ; 

- la figure 7 est un schema montrant un mode d'enrolement d'une 
personne, selon un mode de realisation particulier de I'invention ; 

- la figure 8 est un schema montrant un mode de delivrance de droit a une 
personne en fonction de son identite, selon un mode particulier de 
I'invention ; 

- la figure 9 est un schema montrant un mode de delivrance de droit a une 
personne independamment de son identite, selon un mode de realisation 
particulier de I'invention ; 

- les figures 10 et 11 sont des schemas montrant des modes 
d'enrolements d'une personne selon d'autres modes de realisations de 
I'invention ; 

- la figure 12 est un schema simplifie d'un systeme permettant la 
delivrance de droits selon I'invention. 

La figure 4 est un schema de principe illustrant une phase 
d'enrolement selon I'invention, pouvant eventuellement preceder une 
delivrance de droits. Cette phase d'enrolement consiste a generer un moyen 
unique d'identification d'une personne 22, de maniere a eviter les problemes de 
generation de moyens d'identification multiples a une meme personne comme 
cela a ete expose en introduction. 

Selon cette figure, la personne 22 dispose de donnees biometriques 
qui lui sont propres, cette biometrie 23 de la personne 22 est detectee puis 
comparee a un ensemble de biometries memorisees dans une base de 
donnees biometriques 26, correspondant a des donnees biometriques de 
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personnes ayant deja fait I'objet d'un enrolement, c'est-a-dire ayant deja 
obtenu un moyen d'identification. Si la biometrie 23 de la personne 22 
concorde avec Tune des biometries stockees dans la base de donnees 26, cela 
signifie que la personne 22 a deja fait I'objet d'une enrolement, et done a deja 
regu un jeton biometrique. Dans ce cas, on peut par exemple decider de ne 
pas re-generer un jeton biometrique pour cette personne 22, ou bien de 
proceder a des verifications supplementaires. Lorsqu'a I'etape 25, aucune 
concordance n'a ete trouve entre la biometrie 23 et les biometries stockees 
dans la base 26, cela signifie que ia personne 22 n'a pas encore fait I'objet d'un 
enrolement, et cela justifie la generation d'un moyen d'identification pour cette 
personne 22. On notera que I'etape de verification 25 est particuiierement 
fiable car elle est basee sur des donnees biometriques qui caracterisent 
litteralement la personne consideree. 

Par ailleurs, la personne 22 souhaitant suivre une procedure 
d'enrolement, decline son identite 24. Cette identite fait alors I'objet d'une 
verification a I'etape 27, cette verification pouvant etre de natures diverses. On 
peut par exemple verifier la presence de I'identite declinee 24 dans une base 
de donnees 28 contenant des informations d'identite sur toutes les personnes 
susceptibles de se presenter pour un enrolement. 

Le jeton biometrique 29 finalement genere pour la personne 22 est 
forme a partir de la biometrie 23 et de I'identite 24 de cette personne. Par 
exemple, ce jeton comprend des elements de la biometrie 23, des elements de 
I'identite 24, ainsi qu'un identifiant unique de jeton. II peut s'agir par exemple 
d'une carte d'identite sur laquelle ont ete apposees des empreintes digitales de 
la personne 22. 

Ainsi, I'enrolement illustre sur la figure 4 permet de generer un moyen 
d 'identification qui est unique pour une personne donnee, dans la mesure ou 
Ton verifie dans une etape 25 si la personne consideree a deja obtenu un jeton. 
On evite ainsi de delivrer plusieurs jetons biometriques a une meme personne, 
ce qui limite les possibilites ulterieures d'utilisation de ces differents jetons, par 
exemple afin d'obtenir la delivrance de plusieurs droits sur la base des 
differents jetons biometriques obtenus par cette personne. 
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Apres la generation du jeton biometrique 29 associe a la personne 22, 
la base de donnees 26 est avantageusement mise a jour pour prendre en 
compte la biometrie 23, de maniere a ce que la personne 22 ne puisse plus 
obtenir un jeton biometrique lors d'une nouvelle procedure d'enrolement 
ulterieure, une fois le jeton biometrique 29 obtenu. 

Dans un mode de realisation avantageux de I'invention, la base de 
donnees biometriques 26 stocke non seulement des elements de biometrie, 
mais egalement des identifiants de jetons. Ainsi, chaque biometrie memorisee 
dans la base 26 est associee a un identifiant de jeton biometrique delivre a la 
personne possedant ladite biometrie. On garde ainsi un lien entre la biometrie 
verifiee et le jeton delivre, sans toutefois que ce lien pernnette une 
correspondance directe entre biometrie et identite en dehors du jeton. En effet, 
{'identifiant d'un jeton biometrique n'est pas conservee dans la base de 
donnees de verification des identites, mais il est par exemple incorpore au 
jeton biometrique lui-meme. 

Dans ce mode de realisation, il convient done, en reference a la figure 
4, une fois le jeton biometrique 29 genere pour la personne 22, d'associer la 
biometrie 23 de la personne 22 avec un identifiant du jeton biometrique 29 
(etape 30), puis de stocker 1'identifiant du jeton 29 en association avec la 
biometrie 23 dans la base de donnees biometriques 26. 

On notera que, dans I'exemple decrit en reference a la figure 4, un 
jeton biometrique 29 a ete genere pour etre associe a une personne 22. 
Cependant, il est egalement possible de generer un jeton biometrique pour un 
ensemble de personnes. Par exemple, un jeton unique peut etre genere pour 
un groupe de personnes ayant un lien entre eux, tel qu'une famille. Dans ce 
cas, le jeton biometrique genere portera avantageusement des elements de 
biometrie et d'identite relatifs a chacune des personnes du groupe. 

Les figures -4A et 4B illustrent une variante de realisation pour la phase 
d'enrolement, dans laquelle le moyen unique d'identification associe a une 
personne ou a un groupe de personnes donne est genere en deux temps. 

La personne 107 de la figure 4A possede une biometrie 108. Comme 
dans le cas precedent, on recherche, dans une etape 109, si un jeton a deja 
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ete attribue pour cette biornetrie 108, par exemple en verifiant la presence de 
cette biornetrie dans une base de donnees des biometries 110. Si aucun jeton 
n'a encore ete attribue a la biornetrie 108, on en genere un a partir de la 
biornetrie 108 de la personne 107, et on met avantageusement a jour la base 
de donnees 1 1 0. Ainsi, le jeton biometrique 1 1 1 est obtenu a partir de donnees 
biometriques uniquement a ce stade. De fagon optionnelle, I'identifiant du jeton 
111 est associe a la biornetrie 108 (etape 110), et cette association est 
avantageusement mise a jour dans la base de donnees 110. 

Dans un second temps, une personne 113, qui peut par exemple etre 
la meme personne que la personne 107 de la figure 4A, peut faire ajouter une 
identite sur le jeton biometrique qui lui a ete prealablement associe. Ainsi, la 
personne 113 de la figure 4B presente le jeton biometrique 115 qui lui a ete 
prealablement associe. Une verification est faite a I'etape 116, pour s'assurer 
que le jeton biometrique 1 1 6 est a juste titre en possession de la personne 1 1 3. 
A cet effet, on verifie la concordance entre la biornetrie 114 de la personne 113 
et la biornetrie a partir de laquelle le jeton biometrique 115 a ete genere, cette 
information etant avantageusement inscrite sur le jeton 115. Par ailleurs, la 
personne 113 decline son identite 117. Cette derniere fait I'objet d'une 
verification a I'etape 118, par exemple par recherche de cette identite dans une 
base de donnees des identites 119. Apres verifications, I'identite 117 est 
ajoutee sur le jeton biometrique 115 (etape 120). 

L'enrolement selon ce mode de realisation consiste ainsi en deux 
phases independantes et asynchrones. Le jeton biometrique associe a une 
personne est finalement genere a partir de donnees biometriques et de 
donnees d'identite, mais ces donnees ont pu etre devoilees et inscrites a des 
moments differents. 

En outre, il est possible de mettre en oeuvre a plusieurs reprises la 
seconde phase d'un tel enrolement (illustree a la figure 4B), de maniere a 
inscrire plusieurs identites de nature differente sur un meme jeton biometrique. 
Par exemple, une identite peut se rapporter a un etat civil de la personne 
concernee, tandis qu'une autre identite est une identite professionnelle. 

Une personne possedant un jeton biometrique, qui lui a ete delivre par 
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exemple a Tissue d'une procedure enrollment telle qu'illustree sur la figure 4, 
peut alors pretendre a la delivrance d'un ou plusieurs droits. Cette delivrance 
peut etre effectuee en raison de I'identite de la personne qui revendique un 
droit, ou bien independamment de son identite. 

La figure 5 illustre un cas de delivrance d'un droit a une personne sur 
la base de son identite. La personne 31 qui revendique un droit peut etre par 
exemple la meme personne que la personne 22 qui a subi prealablement une 
procedure d'enrolement. Elle possede une biometrie 32 ainsi qu'un jeton 
biometrique 33 qui lui a ete prealablement associe. On verifie alors, dans une 
etape 34, si la biometrie 32 de la perso nne 31 et la biometrie stockee sur le 
jeton biometrique 33 presentee par la personne 31 concordent bien entre elles. 
Si ce n'est pas le cas, cela signifie que le jeton biometrique 33 presente par la 
personne 31 n'a pas ete genere pour aette personne et ne lui est done pas 
associe. Aucun droit n'est alors delivre dans ce cas de figure. 

En revanche, si la biometrie 32 de la personne 31 et la biometrie a 
partir de laquelle le jeton biometrique 33 a ete genere concordent, cela signifie 
que le jeton 33 est a juste titre en possession de la personne 31 . L'identite de 
la personne 31 est retrouvee a partir du jeton biometrique sur lequel elle est 
inscrite (etape 35). On verifie alors que le droit revendique n'a pas deja ete 
delivre a la personne 31 sur la base de son identite (etape 36). A cet effet, on 
verifie la presence, dans une base de donnees 37 des identites, stockant les 
identites de toutes les personnes ayant deja obtenu le droit considere, de 
Tidentite retrouvee a I'etape 35. On notera que lorsque la delivrance peut 
concerner un ensemble de droits distincts, la base de donnees 37 des identites 
stocke les identites des personnes ayant deja obtenu la delivrance d'un droit 
parmi Tensemble de droits, en relation svec ce droit, de maniere a ne pas 
empecher une personne ayant deja obtenu un droit dudit ensemble de droits 
de s'en voir delivrer un autre ulterieurement. 

Si Tidentite retrouvee a Tetape 35 n'apparait pas dans la base 37, en 
relation avec le droit revendique par la personne 31, cela signifie que cette 
personne ne s'est pas encore vu delivrer le droit quelle revendique. La 
delivrance de ce droit est alors realisee a Tetape 38. Dans le cas contraire, 
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aucun droit n'est delivre a la personne 31, puisque celle-ci I'a deja obtenu 
prealablement. Lorsque le droit revendique par la personne 31 est delivre a 
I'etape 38, la base de donnees 37 est alors mise a jour pour prendre en compte 
cette information, c'est-a-dire que i'identite 35 de la personne 31 est stockee 
dans la base 37 en relation avec le droit delivre. 

Dans I'exemple decrit en reference a la figure 5, on cherche a ne 
delivrer un droit a une personne donnee qu'une seule fois. Cependant, it est 
egalement envisageable de delivrer un droit en un nombre predetermine de 
fois pour une personne donnee ou un groupe de personnes donnees. Dans ce 
cas, il peut etre avantageux de stacker en outre, dans la base de donnees 37, 
une indication relative au nombre de delivrances effectives d'un droit pour 
chaque identite en relation avec ledit droit. On verifie alors a I'etape 36 si le 
droit revendique par la personne 31 a deja ete obtenu pour I'identite retrouvee 
a I'etape 35, un nombre de fois egal au nombre predetermine. On s'assure 
ainsi que le droit ne sera pas delivre a la personne 31 un nombre de fois 
superieur audit nombre predetermine. 

La figure 6 illustre un mode de realisation de la phase de delivrance 
d'un ou plusieurs droits pour une ou plusieurs personnes dans lequel la 
delivrance est effectuee independamrnent de I'identite de la personne. Une 
personne 39 ayant une biometrie 40 et possedant un jeton biometrique 41, 
revendique un droit Comme dans le cas precedent, la biometrie 40 et celle a 
partir de laquelle le jeton biometrique 41 a ete obtenu, par exemple dans une 
procedure d'enrolement, et qui est avantageusement stockee sur le jeton 41, 
sont comparees a I'etape 42. Si les biometries concordent, cela signifie que le 
jeton biometrique 41 est a juste titre associe a la personne 39. On detecte alors 
dans une etape 43, I'identifiant du jeton biometrique 41, qui est 
avantageusement inscrit sur le jeton biometrique lui-meme. 

Puis on verifie a Tetape 44 si le droit revendique par la personne 39 a 
deja ete obtenu pour un tel identifiant de jeton. A cet effet, on consulte 
avantageusement une base de donnees 45 stockant les identifiants de jetons 
de toutes les personnes ayant obtenu un droit, Tidentifiant de jetons etant 
stocke en relation avec le droit delivre pour cet identifiant. Lorsque le droit n'a 
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pas encore ete obtenu pour un tel identifiant, le droit revendique par la 
personne 39 lui est alors delivre lors d'une etape 46, puis cette information de 
delivrance est prise en compte par I'ajout de I'identifiant du jeton obtenu a 
I'etape 43 dans la base de donnees 45 en relation avec l^ droit delivre. 

Ainsi, le droit revendique par la personne 39 lui a ete delivre sans que 
Pidentite de cette personne ne soit jamais detectee ni stockee. Ce mode de 
realisation est particulierement interessant lorsque le droit peut etre revendique 
par un ensemble de personnes en raison de leur qualite, par exemple les 
membres d'une association de personnes anonymes. 

Comme dans le cas decrit en reference a la figure 5, le droit delivre a la 
personne 39 selon le mode de realisation de la figure 6, pourrait etre delivre en 
un nombre predetermine de fois, plutot que de fagon un ique. Dans ce cas, le 
nombre de delivrances d'un droit pour un meme identifiant de jeton, fait 
avantageusement I'objet d'une entree supplemental dans la base de 
donnees 45. 

La delivrance d'un droit selon les modes de realisation illustres sur les 
figures 5 et 6 est done controlee, dans la mesure ou chaque personne 
demandant la delivrance d'un droit obtient un jeton biometrique unique lors 
d'une phase prealable d'enrolement, puis le droit lui est delivre de maniere 
conditionnelle grace a des informations disponibles a partir de ce jeton 
biometrique. On augmente ainsi les chances de ne delivrer un droit qu'un 
nombre predetermine de fois a une meme personne. 

En outre, le mecanisme decrit plus haut permet une separation efficace 
des donnees biometriques d'une part et de I'identite des personnes d'autre 
part. En effet, aucune des bases de donnees utilisees dans la phase 
d'enrolement, comme dans la phase de delivrance de droits, ne contient a la 
fois des informations de biometrie et des informations relatives a des identites 
de personnes. Seul le jeton biometrique genere lors de la phase d'enrolement 
relativement a une personne donnee, contient un lien entre la biometrie et 
Tidentite de cette personne, si bien que ce lien n'est gemeralement disponible 
qu'aupres de ladite personne. 

En ce qui concerne les moyens de mise en ceuvre de Tinvention, une 
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premiere entite 105 peut etre chargee de la mise en oeuvre de la phase 
d'enrolement. Dans ce cas, cette entite 105 est alors un dispositif qui se 
confond avec le systeme global 1 04. 

Si la seconde phase de delivrance de droits est en outre mise en 
oeuvre, une deuxieme entite 106 se charge de delivrer des droits, comme cela 
a ete represents schematiquement sur la figure 12. Le systeme global 104 est 
alors constitue des deux entites distinctes 105 et 106 et il permet la delivrance 
de droits. Chacune des entites, au sein du systeme 104, peut fonationner de 
fagon independante, c'est-a-dire qu'une personne peut demander dans un 
premier temps qu'on lui affecte un jeton biometrique. Cette operation est alors 
realisee a I'aide de I'entite 105. Puis, elle peut demander la delivrance d'un 
droit a la suite immediate de son enrolement, ou, au contraire, bien apres son 
enrolement. La delivrance du droit est alors effectuee par I'entite "106. Dans 
d'autres modes de realisation exposes ci-apres, des interactions sont possibles 
entre les deux entites 1 05 et 1 06. 

En variante, le systeme 104, permettant la delivrance des d roits, peut 
regrouper dans un equipement unique des premiers moyens fonction nels aptes 
a mettre en oeuvre la phase d'enrolement decrite ci-dessus (105 designe alors 
ces premiers moyens fonctionnels), et des seconds moyens fonction nels aptes 
a delivrer des droits conformement a la deuxieme phase decrite ci-dessus (106 
designe alors ces seconds moyens fonctionnels). 

Les modes de realisation de I'invention decrits plus haut, ne permettent 
cependant pas d'annuler totalement le risque qu'une personne puisne se voir 
associer plusieurs jetons biometriques, et eventuellement se faire ensuite 
delivrer plusieurs fois un meme droit, et ce, en declarant plusieurs identites 
differentes. 

En effet, si la personne 22 de la figure 4 a obtenu un jeton biometrique 
unique 29 a Tissue d'une phase d'enrolement, puis pretend avoir perdu son 
jeton 29, il lui est possible de subir une nouvelle phase d'enrolemerrt au cours 
de laquelle elle decline une nouvelle identite, differente de Tidentite 24 
precedemment declaree. Si Tetape de verification de Tidentite 27 n'est pas 
suffisamment fiable, comme c'est parfois le cas en realite, il est possi ble que la 
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personne 22 obtienne un nouveau jeton biometrique genere a parti r de sa 
biometrie 23 et de la nouvelle identite qu'elle a declaree. Cette meme personne 
peut alors obtenir la delivrance d'un droit qu'elle avait deja obtenu, par exemple 
selon les principes decrits en reference a la figure 5 ou a la figure 6, puisque 
aucun droit n'a encore ete delivre pour la nouvelle identite declaree par la 
personne 22, ni pour I'identifiant du jeton nouvellement obtenu par cette 
personne. 

La figure 7 montre un mode de realisation de la phase d'enrolement 
visant a interdire ia generation de plusieurs jetons biometriques pour une 
meme personne sur la base d'identites differentes, et done a reduire les 
risques de delivrance multiple d'un meme droit a cette meme personne, sur la 
base de ses differentes identites declarees. Ainsi, selon la figure 7, la personne 
47 peut obtenir un premier jeton biometrique unique 56 sur la base de sa 
biometrie 48 et de I'identite 49 qu'elle decline lors de son premier enr&Iement, 
de fagon similaire a ce qui avait ete decrit en reference a la figure 4. On 
considere desormais que cette meme personne 47 tente de sa faire attribuer 
un nouveau jeton biometrique en declinant une nouvelle identite 49. Dans ce 
cas, on detecte a I'etape 50 qu'un jeton biometrique a deja ete attribue a cette 
personne en retrouvant la biometrie 48 de la personne 47 dans la base de 
donnees 51 stockant les biometries des personnes ayant deja obtenu u n jeton, 
ces biometries etant associees dans la base a un identifiant du jeton respectif. 

On verifie alors la nouvelle identite 49 declinee par la personne 47 a 
Tetape 52. Etant donnes les risques existants que la personne 47 decline une 
identite 49 differente de celle qu'elle avait declinee lors de son premier 
enrolement, la verification de I'identite de I'etape 52 est avantageu cement 
effectuee avec une fiabilite accrue dans ce cas, par exemple en interrogeant 
une base de donnees 53 des identites contenant des informations multiples sur 
I'identite des personnes. Si I'identite 49 declinee par la personne 47 est 
erronee, on peut alors choisir de ne pas generer de nouveau jeton biometrique 
pour cette personne. 

En outre, lorsque I'etape 50 a revele qu'un jeton avait deja ete attribue 
a la personne 47, on revoque Tidentifiant du jeton biometrique qui avait ete 
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prealablement obtenu par cette personne 47 (etape 54). Cette revocation peut 
etre faite en inscrivant I'ancien identifiant de jeton associe a la personne 47, 
c'est-a-dire I'identifiant du jeton biometrique precedemment obtenu par la 
personne 47, dans une liste d'identifiants revoques 55. 

Cette liste peut etre stockee dans une base de donnee. Lorsque le 
systeme permettant la delivrance des droits comprend deux entites distinctes 
(une pour generer les jetons et une autre pour delivrer effectivement les droits), 
la base de donnees contenant la liste d'identifiants revoques 55 doit etre 
consumable par I'entite chargee de la delivrance des droits (entite 106 sur la 
figure 12). 

En variante, la liste d'identifiants revoques 55 constitute par I'entite 
mettant en oeuvre la phase d'enrolement (entite 105 sur la figure 12) est 
transmise a I'entite chargee de la delivrance des droits (entite 106 sur la figure 
12). Cette transmission peut se faire selon des modes divers. Par exemple, elle 
peut etre faite de maniere periodique, la liste complete des identifiants 
revoques etant transmise a chaque periode, ou bien seuls les identifiants 
revoques ajoutes a la liste 55 depuis la derniere periode sont transmis lors 
d'une nouvelle periode. II est encore possible de transmettre chaque identifiant 
revoque a I'entite chargee de la delivrance des droits des I'ajout de cet 
identifiant dans la liste 55, de fagon a avoir une transmission instantanee des 
identifiants revoques. 

La revocation de I'identifiant du jeton biometrique prealablement 
genere pour la personne 47 permet ainsi d'eviter que la personne 47 puisse 
disposer de deux jetons biometriques differents en vigueur. 

Une delivrance des droits ulterieure est alors conditionnee par le fait 
que le jeton biometrique presente par une personne est bien en vigueur. La 
figure 8 illustre un tel mode de delivrance d f un droit. Une personne 59 ayant 
une biometrie 60 ainsi qu'un jeton biometrique 61 revendique la delivrance d'un 
ou plusieurs droits. Comme dans les cas de delivrance decrits plus haut, on 
verifie a Tetape 62 une concordance entre la biometrie 60 et celle stockee sur 
le jeton biometrique 61 genere lors d'une phase d'enrolement prealable. 
Lorsque les biometries concordent, on verifie, dans une etape 63, si i'identifiant 
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du jeton biometrique 61 associe a la personne 59 est en vigueur ou bien s'il a 
ete precedemment revoque. A cet effet, on verifie dans une liste d'identifiants 
revoques 64 la presence ou I'absence de I'identifiant du jeton biometrique 61. 

La liste d'identifiants revoques 64 est obtenue a partir de la liste 
d'identifiants revoques 55. Par exemple, lorsque la liste d'identifiants revoques 
55 a ete stockee dans une base de donnees accessible depuis I'entite 
(physique ou fonctionnelle) chargee de la delivrance des droits, la liste 64 est 
alors la meme que la liste 55, et il suffit de consulter ladite base de donnees 
pour conclure a la revocation ou non du jeton biometrique considere. En 
alternative, la liste 64 est differente de la liste 55, mais elle est mise a jour a 
partir de cette derniere lors de transmission d'identifiants revoques vers un 
espace memoire de I'entite chargee de la delivrance des droits, ladite 
transmission pouvant etre instantanee ou periodique, partielle ou complete, 
comme indique plus haut. 

Si on conclut, a I'etape 63, que I'identifiant du jeton biometrique 61 
utilise par la personne 59 a ete revoque, on peut alors choisir de ne pas 
delivrer le droit revendique a la personne 59. Au contraire, si I'identifiant du 
jeton biometrique 61 associe a la personne 59 est bien en vigueur, on procede 
alors comme dans le cas decrit precedemment en reference a la figure 5, pour 
delivrer le droit a la personne 59 lors d'une etape 68, apres avoir verifie que 
I'identite 65 de la personne 59 inscrite sur le jeton biometrique 61 n'a pas deja 
fait I'objet de la delivrance du meme droit, une fois ou, plus generalement, un 
nombre predetermine de fois. 

Dans le mode de realisation illustre sur la figure 9, on delivre un droit 
revendique a une personne 69 sur la base de I'identifiant du jeton biometrique 
71 qui lui est associe, comme dans le cas precedemment decrit en reference a 
la figure 6. Comme dans le cas illustre sur la figure 8, on verifie a I'etape 73 
que I'identifiant du jeton biometrique 71 n'a pas ete precedemment revoque, 
par interrogation d'une liste d'identifiants revoques 74 etablie a partir de la liste 
d'identifiants revoques 55 precedemment decrite. 

Dans les modes de realisation de I'invention decrits plus haut, il n'est 
pas exclu qu'une personne puisse usurper I'identite d'une autre personne et 
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ainsi obtenir un jeton biometrique relatif a cette identite usurpee, au detriment 
de cette autre personne. Si la personne 47 de la figure 7 a obtenu un premier 
jeton biometrique 56, puis pretend I'avoir perdu, elle peut alors faire I'objet 
d'une nouvelle phase d'enrolement au cours de laquelle elle decline I'identite 
d'une autre personne 47'. Si la verification de I'identite de I'etape 52 n'est pas 
suffisamment fiable, il est alors possible que la personne 47 obtienne un 
nouveau jeton biometrique genere a partir de sa propre biometrie 48 et de 
I'identite de la personne 47\ 

Pour eviter cette situation, on peut proceder selon Tun des modes de 
realisation illustres sur les figures 10 et 11. La figure 10 montre une personne 
78 ayant une biometrie 79 et une identite 80 qu'elle decline pour verification a 
I'etape 87. Si I'on constate, en recherchant la biometrie 79 dans une base de 
donnees 83 contenant les biometries de toutes les personnes ayant deja 
obtenu un jeton, les biometries etant respectivement associees a des 
identifiants de jetons correspondants, que la personne 78 n'a jamais demande 
la generation d'un jeton biometrique, on genere alors un jeton biometrique 84 a 
partir de la biometrie 79 de la personne 78 et de I'identite 80 qu'elle a declare 
et qui a ete verifie a I'etape 87. La biometrie 79 de la personne 78 est alors 
associee a I'identifiant du jeton biometrique 84 (etape 85) pour faire I'objet 
d'une nouvelle entree dans la base de donnee 83. 

En outre, on calcule une cle biometrique relative a la personne 78 
(etape 86). Cette cle biometrique est un code genere de maniere robuste et 
reproductible, susceptible de caracteriser la personne 78 de maniere suffisante 
pour que celle-ci ait une valeur de cle differente d'une autre personne 
quelconque avec un niveau de probabilite predetermine choisi, mais pas 
suffisamment caracterisante pour permettre de retrouver les donnees 
biometriques relatives a la personne 78. 

A titre d'exemple, la cle biometrique peut prendre quelques dizaines ou 
quelques centaines de valeurs differentes, lorsque le nombre de personnes 
susceptibles de pretendre a la delivrance de droits est une population de 
quelques millions ou quelques dizaines de millions de personnes. Elle peut par 
exemple prendre comme valeur une lettre de I'alphabet entre A et Z (26 valeurs 
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differentes) ou bien un nombre a 2 chiffres entre 00 et 99 (100 valeurs 
differentes). De fagon avantageuse, le nombre de valeurs de la cle biometrique 
est adapte a la puissance de calcul necessaire pour calculer par force brutale 
toutes les combinaisons. 

La cle biometrique est calculee a partir d'elements biometriques de la 
personne consideree. Par exemple, si les donnees biometriques 79 utilisees 
pour identifier la personne 78 sont des empreintes digitales, la cle biometrique 
calculee a r etape 86 pour cette personne 78 peut etre obtenue a partir d'un 
codage de la forme generate de chaque empreinte des doigts de cette 
personne 78, etant entendu que ce codage permet d'obtenir une repartition a 
peu pres uniforme des codes pour les differentes formes possibles des 
empreintes des doigts. En variante, les donnees biometriques 79 de la 
personne 78, auxquelles on s'interesse, sont relatives a I'iris de I'ceil de la 
personne 78. Dans ce cas, la cle biometrique pourrait etre calculee 
avantageusement selon une operation statistique basee sur le codage de I'iris. 

Une fois la cle biometrique calculee pour la personne 78, on retrouve 
I'identite de la personne 78 a partir du jeton 84 genere pour cette personne 
(etape 92). Puis on memorise dans une base de donnees 89 la cle biometrique 
obtenue a I'etape 86, en la reliant a I'identite de la personne 78. Cela revient a 
dire que la base de donnee 89 stocke I'ensemble des identites des personnes 
susceptibles de demander la delivrance de droits, chaque identite etant 
associee a une cle biometrique de la personne correspondante. Dans ce cas 
de figure, des informations d'identites sont done stockees en liaison avec des 
informations de biometrie. Cependant, etant donne le mode de calcul 
faiblement discriminant de la cle biometrique decrit plus haut, il n'est pas a 
craindre que la relation stockee dans la base 89 puisse permettre de retrouver 
I'identite d'une personne a partir de sa biometrie, ni inversement. 

Si par la suite, la personne 78 usurpe I'identite d'une autre personne et 
souhaite se voir generer un jeton biometrique a partir de cette identite usurpee, 
on procede comme suit : apres avoir detecte que la personne 78 s'etait deja 
fait attribuer un jeton biometrique (etape 82), on calcule la cle biometrique 81 
associee a la personne 78. Puis, sur la base de I'identite 80 declaree par la 
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personne 78, on effectue une verification de cette identite, si possible de fagon 
plus fiable que dans le cas courant (etape 87). Puis on compare, a I'etape 88, 
la cle biometrique 81 avec la cle biometrique associee a I'identite 80 declinee 
par la personne 78 dans la base de donnees 89. 

Si les cles biometriques comparees sont identiques, on peut alors en 
conclure avec un degre de certitude raisonnable que I'identite 80 est bien celle 
de la personne 78. En revanche, si les cles biometriques comparees sont 
differentes entres elles, I'identite 80 declinee par la personne 78 est 
certainement usurpee. Dans ce dernier cas, on peut alors choisir de ne pas 
generer de nouveaux jetons biometriques a la personne 78 sur la base de cette 
identite usurpee. 

Comme dans le mode de realisation decrit plus haut en reference a la 
figure 7, on peut revoquer I'identifiant de I'ancien jeton biometrique associe a la 
personne 78 (etape 90), lorsque il a ete conclu que I'identite 80 declinee par la 
personne 78 etait la bonne a Tissue des etapes 87 et 88. A cet effet, I'ancien 
identifiant de jeton est ajoute a une liste d'identifiants revoques 91, 
eventuellement transmise a une entite (physique ou fonctionnelle) chargee de 
la delivrance effective des droits. 

Dans une variante de realisation, illustree a la figure 11, une personne 
93 se voit generer un jeton biometrique 98, tandis qu'aucun jeton biometrique 
n'avait ete associe a cette meme personne auparavant. Puis on calcule une cle 
aleatoire pour cette personne 93 (etape 99), que Ton stocke d'une part, dans 
une base de donnees biometriques 97, en relation avec la biometrie 94 de la 
personne 93, et d'autre part, dans une base de donnees des identites 101, en 
relation avec Tidentite de la personne 93 obtenue a partir du jeton biometrique 
98 genere pour cette personne. 

Si la personne 93 subit une nouvelle phase d'enrolernent, on detecte a 
I'etape 96 qu'un jeton biometrique a deja ete associe a cette personne dans le 
passe, par consultation de la base de donnees 97, sur la base de la biometrie 
94. Puis on effectue une verification particulierement soignee de Tidentite 95 
declinee par la personne 93 (etape 100). Et on effectue une comparaison entre 
les cles aleatoires memorisees dans la base de donnees 97 pour la biometrie 
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94, et dans la base de donnees 101 pour I'identite declinee 95 (etape 102). 

Si les cles aleatoires memorisees dans les bases de donnees 97 et 
101 respectivement, ne sont pas coherentes entres elles, on peut en conclure 
avec un degre raisonnable de certitude que I'identite 95 declinee par la 
personne 93 lors de ce second enrolement a ete usurpee et correspond done a 
Tidentite d'une autre personne ayant deja subi elle-meme une phase 
d'enrolement. 

A I'inverse, si Tetape 102 indique que les cles aleatoires memorisees 
dans les bases de donnees 97 et 101 sont identiques, il est alors probable que 
I'identite 95 declinee par la personne 93 lors de ce second enrolement soit bien 
Tidentite de cette personne, et non une identite usurpee. Dans ce cas, on peut 
choisir de generer un nouveau jeton biometrique 103 a I'attention de la 
personne 93, en remplacement du jeton qui lui avait ete prealablement attribue. 

Bien que cela ne soit pas ete represents sur cette figure, il est bien sur 
possible comme dans les cas decrits plus haut, de revoquer I'identifiant de 
I'ancien jeton biometrique qui avait ete associe a la personne 93, de maniere a 
ce que cette personne ne dispose que d'un jeton en vigueur a la fois. 

Dans le mode de realisation de I'invention illustree sur la figure 11, le 
calcul de la cle a I'etape 99 est totalement aleatoire, ce qui limite les risques de 
fraudes consistant a rechercher, a partir de donnees biometriques d'une 
personne, une cle correspondante. 

On constate egalement dans ce dernier mode de realisation qu'un 
champ identique (la cle aleatoire) est stockee a la fois dans une base de 
donnees biometriques 97 et dans une base de donnees d'identites 101. 
Cependant, la cle aleatoire etant calculee de fagon a etre faiblement 
discriminante (elle peut prendre par exemple entre quelques dizaines et 
quelques centaines de valeurs differentes, comme dans le cas decrit plus 
haut), il est impossible pour une personne ayant acces aux bases de donnees 
97 et 101 de retrouver avec certitude une correspondance entre la biometrie et 
ridentite d'une personne sur la seule base de la cle aleatoire. 
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REVENDIC ATIONS 

1. Precede de controle d'identification de personnes, comprenant une 

phase de generation d'un moyen unique d'identification (29, 56, 84, 98, 103, 
111) associe a au rnoins une personne (22, 47, 78, 93, 107, 113) comprenant 
les etapes suivantes : 

lal detecter des donnees biometriques (23, 48, 79, 94, 108) relatives a 
ladite personne ; 

Ibl rechercher une concordance entre les donnees biometriques 
relatives a ladite personne et des donnees biometriques preaiablement 
memorisees dans une base de donnees biometriques (26, 51, 83, 97, 
110), lesdites donnees biometriques preaiablement memorisees etant 
relatives a des personnes pour lesquelles des moyens d'identification 
ont ete preaiablement generes ; et, 

lorsque aucune concordance n'a ete trouvee : 

Id genererun moyen d'identification (29, 56, 84, 98, 103, 111) associe 
a ladite personne a partir des donnees biometriques relatives a ladite 
personne et d'au moins une identite (24, 49, 80, 95, 117) de ladite 
personne. 

2. Procede selon la revendication 1, comprenant en outre I'etape : 

161 ajouter les donnees biometriques relatives a ladite personne dans la 
base de donnees biometriques. 

3. Procede selon la revendication 2, dans lequel, lors de I'etape /d/, les 
donnees biometriques (48, 79) sont ajoutees dans la base de donnees 
biometriques (51, 83) en association avec un identifiant unique dudit moyen 
d'identification (56, 84) associe a ladite personne (47, 78). 

4. Procede selon Tune quelconque des revendications precedentes, 
comprenant en outre une etape de verification (27, 52, 87, 100, 118) de 
ndentite de ladite personne (22, 47, 78, 93, 113). 
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5. Precede selon la revendication 4, dans lequel la verification de 
I'identite est renforcee pour une personne pour laquelle une concordance a ete 
trouvee a I'etape IbL 

6. Precede selon Tune quelconque des revendications precedentes, 
dans lequel la generation, a I'etape /c/, d'un moyen d'identification associe a 
ladite personne (107) est effectuee d'abord a partir des donnees biometriques 
(108) relatives a ladite personne, puis completee par I'ajout d'au moins une 
identite (117) de ladite personne. 

7. Precede selon Tune quelconque des revendications precedentes, 
dans lequel la phase de generation d'un moyen unique d'identification (84, 98, 
103) associe a ladite personne (78, 93) comprend en outre les etapes 
suivantes : 

- calculer une cle associee a ladite personne, la cle pouvant prendre un 
nombre de valeurs tres inferieur au nombre de personnes susceptibles 
de requerir la generation d'un moyen unique d'identification, et 
suffisamment eleve pour que deux personnes quelconques se voient 
associer des cles differentes avec un niveau de probability 
predetermine ; et 

- memoriser ladite cle dans une base de donnees des identites (89, 101) 
en association avec une identite de ladite personne, 

8. Precede selon la revendication 7, dans lequel le nombre de valeurs 
de la cle est choisi de fagon a tenir compte de la puissance de calcul 
necessaire pour calculer par force brutale toutes les combinaisons. 

9. Precede selon la revendication 7 ou 8, dans lequel le nombre de 
valeurs de la cle est compris sensiblement entre quelques dizaines et quelques 
centaines lorsque le nombre de personnes susceptibles de requerir la 
generation d'un moyen unique d'identification est de quelques millions ou 
dizaines de millions. 
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10. Procede selon Pune quelconque des revendications 7 a 9, dans 
lequel le calcul de la cle est effectue a partir de donnees biometriques relatives 
a ladite personne (78). 

11. Procede selon la revendication 10, dans lequel le calcul de la cle est 
effectue a partir de la forme generale des empreintes de certains doigts au 
moins de ladite personne. 

12. Procede selon la revendication 10 ou 11, dans lequel le calcul de la 
cle est effectue a partir d'informations relatives a Piris de Poeil de ladite 
personne. 

13. Procede selon Tune quelconque des revendications 10 a 12, 
comprenant les etapes suivantes, lorsqu f une concordance a ete trouvee a 
Petape Ibl : 

- obtenir une identite (80) de ladite personne (78) ; 

- calculer la cle (81) associee a ladite personne ; 

- comparer la cle calculee avec la cle memorisee dans la base de 
donnees des identites (89) en association avec Pidentite obtenue pour 
ladite personne ; et 

- mettre en oeuvre selectivement Petape Id en fonction du resultat de la 
comparaison entre lesdites cles calculee et memorisee. 

14. Procede selon Tune quelconque des revendications 7 a 9, dans 
lequel le calcul de la cle est aleatoire. 

15. Procede selon la revendication 14, dans lequel on memorise en 
outre la cle dans la base de donnees biometriques (97) en association avec les 
donnees biometriques relatives a ladite personne (93). 

16. Procede selon la revendication 15, comprenant les etapes 
suivantes, lorsqu'une concordance a ete trouvee a Petape ibl : 

- obtenir une identite (95) de ladite personne (93) ; 
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- obtenir la cle memorisee dans la base de donnees biometriques (97) en 
association avec les donnees biometriques relatives a ladite personne ; 

- comparer la cle obtenue avec la cle memorisee dans la base de 
donnees des identites (101) en association avec I'identite obtenue pour 
ladite personne ; et 

- mettre en oeuvre selectivement I'etape /c/ en fonction du resultat de la 
comparaison entre lesdites cles. 

17. Procede selon Tune quelconque des revendications precedentes, 
comprenant en outre une seconde phase de delivrance d'au moins un droit a 
ladite personne (31, 39, 59, 69), dans laquelle : 

lei ladite personne s'identifie a I'aide du rnoyen d'identification (33, 41, 
61 , 71) qui lui a ete prealablement associe ; et 

/f/ on delivre ledit droit a ladite personne lorsque ledit droit n'a pas deja 
ete delivre a ladite personne un nombre de fois egal a un nombre 
predetermine. 

18. Procede selon la revendication 17, dans lequel I'etape lei comprend 
une comparaison entre des donnees biometriques (32, 40, 60, 70) relatives a 
ladite personne et les donnees biometriques a partir desquelles le moyen 
d' identification associe a ladite personne a ete genere. 

1Q. Procede selon la revendication 17 ou 18, dans lequel I'etape If/ 

comprend la consultation, dans une base de donnees de droits (37, 45, 67, 76), 
des droits deja delivres a des personnes, sur la base d'un identifiant (35, 43, 
65). 

20. Procede selon la revendication 19, dans lequel ledit identifiant (35, 
65) est une identite de ladite personne, obtenue a partir du moyen 
d'identification (33, 61) associe a ladite personne (31, 59). 

21 . Procede selon la revendication 19, dans lequel ledit identifiant est un 
identifiant unique (43) du moyen d'identification (41) associe a ladite personne, 
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cet identifiant etant incorpore dans ledit moyen d* identification associe a ladite 
personne (39). 

22. Procede selon Tune quelconque des revendications 17 a 21, dans 
lequel lorsqiTune concordance a ete trouvee a I'etape /b/, on ajoute a une 
premiere liste des identifiants des moyens d'identification revoques (55, 91), 
I'identifiant unique du moyen d'identification associe a ladite personne (47, 78) 
qui etait memorise dans la base de donnees biometriques (51, 83) en 
association avec les donnees biometriques relatives a ladite personne (47, 78) 
et, dans lequel I'etape /f/ est mise en oeuvre selectivement selon que 
I'identifiant du moyen d'identification (61, 71) avec lequel ladite personne (59, 
69) s'identifie est ou non memorise dans une seconde liste des identifiants des 
moyens d'identification revoques (64, 74). 

23. Procede selon la revendication 22, dans lequel les phases de 
generation d'un moyen unique d'identification associe a ladite personne et de 
delivrance d'au moins un droit a ladite personne sont mises en oeuvre par une 
premiere et une seconde entites respectivement, et dans lequel la premiere 
liste des identifiants des moyens d'identification revoques (55, 91) est stockee 
sur une base de donnees des identifiants des moyens d'identification revoques 
consumable par la seconde entite, la seconde liste des identifiants des moyens 
d'identification revoques (64, 74) etant alors identique a la premiere liste des 
identifiants des moyens d'identification revoques (55, 91). 

24. Procede selon la revendication 22, dans lequel les phases de 
generation d'un moyen unique d'identification associe a ladite personne et de 
delivrance d'au moins un droit a ladite personne sont mises en oeuvre par une 
premiere et une seconde entites respectivement, et dans lequel les identifiants 
ajoutes a la premiere liste des identifiants des moyens d'identification revoques 
(55, 91) sont transmis de la premiere entite vers la seconde entite pour mettre 
a jour la seconde liste des identifiants des moyens d'identification revoques 
(64, 74). 

25. Procede selon la revendication 24, dans lequel la transmission des 
identifiants de la premiere entite vers la seconde entite est effectuee selon Tun 
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au rnoins des mecanismes suivants : par transfer! periodique desdits 
identifiants ajoutes a la premiere liste des identifiants des moyens 
d'identification revoques (55, 91) depuis le dernier transfer!, ou par transfer! 
periodique de I'ensemble des identifiants memorises dans la premiere liste des 
identifiants des moyens d'identification revoques, ou par transfer! instantane de 
chaque identifiant lors de son ajout a la premiere liste des identifiants des 
moyens d'identification revoques. 

26. Systeme (104) comprenant des moyens pour mettre en oeuvre le 
precede selon Tune quelconque des revendications precedentes. 

27. Systeme (104) selon la revendication 26, comprenant une premiere 
entite (105) agencee pour mettre en oeuvre la premiere phase de generation 
d'un moyen unique d'identification (29, 56, 84, 98, 103) associe a au moins une 
personne (22, 47, 78, 93), et une seconde entite (106) agencee pour mettre en 
oeuvre la seconde phase de delivrance d'au moins un droit a au moins une 
personne (31 , 39, 59, 69). 
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